PR

 正解は2と3です。

 今回は,Active Directoryのグループポリシー管理に関する問題です。この内容は,MCP試験70-294(Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure)の試験範囲です。

 Windowsのグループポリシーを利用すると,コントロールパネルやレジストリなどを使って設定する項目をひとつの画面で構成できます。Active Directoryドメインを利用している場合,グループポリシーの一元管理が可能になります。

 グループポリシー管理は,集中管理,分散管理いずれにも対応できます。既定では,グループポリシーの管理は各ドメインのDomain AdminsグループまたはEnterprise Adminsグループの管理者が行えるようになっています。

 問題のように複数の管理者グループに対して異なるレベルでのグループポリシー管理を行いたい場合,以下の方法で実装できます。

●グループポリシーの作成
[グループポリシーの管理]ツールで,[グループポリシーオブジェクト]コンテナに対して編集アクセス許可を与えます(図1)。

図1●GPOの作成権限
図1●GPOの作成権限 [画像のクリックで拡大表示]

●グループポリシーのリンク
OUオブジェクトのアクセス許可を変更します。ただし,リンクのみを許可するための設定は複雑なため,[Active Directoryユーザーとコンピュータ]でOUを右クリックして[制御の委任]ウィザードを使用して与えるのが便利です(図2)。

図2●GPOのリンク委任(制御の委任)
図2●GPOのリンク委任(制御の委任) [画像のクリックで拡大表示]

●グループポリシーの編集
[グループポリシーの管理]ツールで,編集を許可するGPOのアクセス許可を変更します(図3)。

図3●特定のGPOの編集権限
図3●特定のGPOの編集権限 [画像のクリックで拡大表示]

●WMIフィルタの作成
WMIフィルタを利用すると,たとえばOSのバージョンやハードディスクの空き領域などの条件を動的に判断してGPOを適用できます。[グループポリシーの管理]で[WMIオブジェクト]コンテナに対してアクセス許可を与えます。

 問題の要件を満たすために,OUに対してGPOのリンク操作を行えるようにするには,制御の委任を行います。さらに,GPOのアクセス許可を変更します。従って,正解は2と3です。

 Group Policy Creator Ownersは,Active Directoryのビルトイングループであり,既定ではGPOの作成と自らが作成したGPOの編集ができます。このグループのメンバーにすると,必要以上の操作ができるようになってしまい,要件を満たしません。従って,1は誤りです。

 グループポリシーオブジェクトコンテナのフルコントロールアクセス許可をエンジニアチームに与えると,GPOの作成が可能になってしまい,要件を満たしません。このため,4も誤りです。